株式会社イセトーの情報漏洩について
2024年5月、株式会社イセトーがランサムウェアによるサイバー攻撃を受けました。
これにより漏洩した情報のうち、個人情報だけでも150万人規模になるといいます。
まず、株式会社イセトーの概要ですが、
主に金融機関や全国の自治体、企業から印刷業務を請け負っている京都府の会社です。
印刷会社が標的になる、というのは少し意外な気もします。
しかし考えてみると、各種払い込み用紙などの印刷には大量の個人情報を扱うことになり、
その顧客から預かる個人情報が標的となった、ということになります。
同年6月には攻撃者グループのリークサイトにおいて漏洩データが公開され、
その内容をイセトーが調査したところ、自社からの流出データと判明したようです。
----------------------------
ランサムウェア被害の発生について
2024.05.29
ランサムウェア被害の発生について(続報)
2024.06.06
ランサムウェア被害の発生について(続報2)
2024.07.03
イセトーお知らせページより
----------------------------
立場を変えて、自治体等から見れば業務委託先が情報漏洩を起こしたことになり、
直接的に標的になって漏洩事故を起こしたわけではありませんが、決して他人事とはならないのが情報セキュリティの問題です。
ISMS(ISO27001)やプライバシーマークの中にも、委託先管理、評価というトピックがあります。
その委託先の判断基準にはISMSやPマークを取得しているか、というのも大きな判断材料になります。
今回のイセトーもISO27001、27017(クラウドセキュリティ)、Pマークを認証取得していたのですが、
こうした漏洩事故が起きてしまいました。
現在は先述のISOの2規格は一時停止されています。
原因が不明な状態の為、どこに脆弱性があったのか分からないままですが、
マークを持っているから何もしなくて良い、というものではありません。
かといって個人情報や情報資産を何も取り扱わないで業務が成り立つのか、というと全くそんなことはなく、どんな企業、組織でも情報量、リスクの差こそあれ情報を取り扱うのが現代です。
従業員、関係各位への教育や規程の周知、日々変わる状況に応じたマニュアルの改訂など、
ISOやプライバシーマークは取得して終わりではなく、PDCAサイクルを回しながら運用していく必要があります。
こうした情報収集も大切になっていきます。
なかなか情報セキュリティ事務局を兼任しているという環境ですと、更新直前に慌てて記録を作ったりといった運用になりがちです。
弊社では定期的な運用で更に規格改訂等の最新化もしっかりと行います。
些細なご相談でも構いません。まずはこちらからお気軽にお問い合わせください!
